Противодействовать использованию простых паролей можно используя доменные групповые политики для определения требований к сложности паролей, частоте смены паролей и параметрам блокировки учетной записи. Также можно использовать решение Strongpass для проактивного блокирования простых паролей (например, когда пользователь меняет пароль или когда его устанавливает системный администратор).
Настройка и параметры групповой политики
Парольная политика для учетных записей пользователей домена настраивается в политике Default Domain Policy. Эта политика связана с корнем домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC Emulator.
Политики паролей находятся в разделе редактора GPO:
Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика паролей
(Computer Configuration → Windows Settings → Security Settings → Account Policies → Password Policy)
Новые параметры парольной политики будут применены ко всем компьютерам домена в фоновом режиме в течение некоторого времени (например, 90 минут) или при загрузке компьютера, либо можно применить новые параметры групповых политик немедленно, выполнив команду gpupdate /force
на конкретном компьютере.
Вы можете изменить параметры политики паролей из консоли управления GPO или с помощью PowerShell-командлета Set-ADDefaultDomainPasswordPolicy.
Например:
Set-ADDefaultDomainPasswordPolicy -Identity exampledomain.ru -MinPasswordLength 14 -LockoutThreshold 10
Рисунок 1. Рекомендуемые значения параметров групповой политики
На текущий момент нет однозначного мнения, каким должен быть максимальный срок действия пароля. При слишком коротком сроке действия повышается нагрузка на подразделение, занимающееся поддержкой ИТ-инфраструктуры, так как очень часто смена пароля приводит к блокировке учетной записи пользователя.
Типовые причины блокировки при смене пароля:
- пользователь забыл сменить пароль на одном из своих устройств или в одном из приложений;
- ошибки используемого ПО, которые некорректно обрабатывают ситуацию смены пароля.
При слишком большом сроке увеличивается вероятность использования паролей, полученных из публичных утечек. Чаще всего срок действия пароля устанавливается в диапазоне от 40 до 180 дней. Решение о максимальном сроке действия пароля предлагается принимать исходя из условий и особенностей деятельности конкретной организации.
Настройка политики блокировки учетной записи
Эта политика является одной из мер, которые позволяют обнаружить атаку, совершаемую методом подбора паролей, и замедлить злоумышленника.
Рисунок 2. Рекомендуемые пороговые значения блокировки
Пороговое значение блокировки рекомендуется подбирать экспериментально, ориентируясь на количество запросов пользователей в техническую поддержку ИТ по поводу блокировки учетной записи.
Настройка Strongpass
Рекомендуется установить инструмент проактивной защиты от использования слабых паролей Strongpass согласно инструкции. В зависимости от задач, возможностей и требований создайте свой собственный список слабых паролей и определите дополнительные ограничения к паролям согласно инструкции, доступной по ссылке.
Пример таких дополнительных ограничений — запрет использовать в пароле:
- символы, идущие подряд на клавиатуре, в любых комбинациях, например:
qwe
,!@#
,*ik
и другие; - больше двух одинаковых символов подряд вне зависимости от регистра, например:
qqq
,ddd
,EEe
и другие; - больше двух цифр подряд:
123
,1978
и другие; - некоторые простые слова без замены символов, имена латиницей, например:
love
,sun
,June
,Microsoft
,anna
,ivan
и другие.